Microsoft corrige 206 failles record dont 3 zero-days déjà exploités

Microsoft a déployé mardi ses correctifs mensuels pour juin 2026, couvrant au total 206 vulnérabilités dans ses logiciels. C'est le nombre le plus élevé jamais publié par l'entreprise en un seul Patch Tuesday.

Parmi ces failles, 39 sont classées critiques et 167 importantes. Trois d'entre elles étaient déjà divulguées publiquement avant la publication des correctifs, ce qui en fait des zero-days au sens strict.

Des failles critiques sans authentification requise

Trois vulnérabilités affichent un score CVSS de 9.8, le niveau le plus élevé de l'échelle. La première concerne le noyau Windows (CVE-2026-45657) : un défaut de type use-after-free dans le traitement TCP/IP permet à un attaquant distant d'exécuter du code avec les privilèges système, sans interaction de l'utilisateur.

La deuxième touche le composant HTTP.sys (CVE-2026-47291), via un dépassement d'entier. La troisième vise le client DHCP Windows (CVE-2026-44815), où un dépassement de tampon permet une prise de contrôle complète du système à distance, sans aucune authentification. Ce dernier vecteur est jugé particulièrement risqué car DHCP est une fonction réseau centrale, présente dans la quasi-totalité des infrastructures.

Une exploitation réussie de ces trois failles peut conduire à l'exécution de code arbitraire, au vol de données, au déploiement de malwares ou à une propagation latérale dans le réseau.

Trois zero-days publiquement divulgués

Parmi les zero-days figurent CVE-2026-50507, CVE-2026-49160 et CVE-2026-45586. Le premier est associé à une technique de contournement de BitLocker baptisée "bitskrieg", qui permettrait d'accéder en clair à des données chiffrées sur un disque. Le second correspond à une attaque de type HTTP2/Bomb capable de saturer un serveur IIS en épuisant 64 Go de RAM en environ 45 secondes.

Pour limiter ce risque, Microsoft introduit un nouveau paramètre de registre nommé "MaxHeadersCount", destiné à plafonner le nombre d'en-têtes acceptés dans les requêtes HTTP/2 et HTTP/3. Le troisième zero-day, CVE-2026-45586, concernerait un exploit d'élévation de privilèges dans le composant CTFMON, publié sous le nom "GreenPlasma" par le chercheur Chaotic Eclipse.

BitLocker et des correctifs incomplets réouverts

Le correctif adresse également CVE-2026-45585, une faille de contournement de BitLocker pour laquelle un code d'exploitation nommé "YellowKey" avait été publié le mois précédent. Un attaquant disposant d'un accès physique à la machine pouvait s'en servir pour lire des données normalement protégées par le chiffrement.

Par ailleurs, ce Patch Tuesday comble aussi une vulnérabilité dite "MiniPlasma", présentée comme un correctif incomplet d'une faille (CVE-2020-17103) déjà traitée par Microsoft en décembre 2020. L'entreprise recommande d'installer les mises à jour de juin 2026 pour fermer définitivement ce vecteur.

L'IA, moteur de la croissance des CVE

Microsoft et plusieurs chercheurs en sécurité attribuent l'augmentation du volume de correctifs à l'usage croissant d'outils de découverte de vulnérabilités assistés par intelligence artificielle. Selon des experts de Tenable et du Zero Day Initiative de TrendAI, cette tendance devrait se poursuivre.

Le nombre total de CVE publiés par Microsoft depuis le début de l'année 2026 dépasse déjà l'ensemble des CVE publiés sur toute l'année 2018. Cette accélération pose des questions sur la capacité des équipes à maintenir la qualité des correctifs à ce rythme.

Les administrateurs système sont invités à prioriser les mises à jour sur les systèmes exposés à internet, notamment ceux gérant du trafic DHCP ou HTTP, qui concentrent les risques les plus immédiats ce mois-ci.

Source : Thehackernews